El Centro Nacional de Inteligencia (CNI) de España publicó en septiembre de este año un informe de amenazas y riesgos de uso de la aplicación de mensajería instantánea WhatsApp. El documento revela cuáles son las principales vulnerabilidades del programa y cómo los piratas informáticos pueden acceder a través de ellas para suplantar la identidad del usuario, robarle información y conversaciones y conocer sus datos personales. A continuación les ofrecemos algunas de las fallas de WhatsApp más destacadas.
Frágil seguridad en el proceso de alta
Una de las fallas de Whatsapp que el informe considera más importante hasta ahora es la seguridad en el proceso de alta y verificación de los usuarios. «Las características del proceso de registro propician que un intruso pudiera hacerse con la cuenta de usuario de WhatsApp de otra persona, leer los mensajes que reciba e incluso enviar mensajes en su nombre», apunta el estudio.
Secuestro de cuentas
El segundo de los problemas reside en el riesgo del secuestro de cuentas. El CNI advierte de que esto es posible hacerse aprovechando los fallos de red conocidos como protocolo de telecomunicaciones SS7. Durante estas fallas los piratas informáticos pueden aprovechar para grabar llamadas, leer mensajes y detectar la ubicación del dispositivo.
El ataque se realiza de forma sencilla, haciendo creer a la red telefónica que el teléfono del atacante tiene el mismo número que la víctima», explica el organismo. «De esta forma se consigue recibir un código de verificación de WhatsApp válido, teniendo acceso completo a la cuenta de la víctima, independientemente del cifrado incluido en las comunicaciones», aclara. Para evitar esta situación, se recomienda activar la opción de «Mostrar notificaciones de seguridad», en la sección de ajustes de seguridad de la cuenta.
Conversaciones borradas que no desaparecen
A pesar de que eliminar conversaciones en Whataspp sea una tarea sencilla, ello no significa que ésta se haya llevado a cabo. Estas permanecen encriptadas, por lo que siempre están sujetas a ser recuperadas por quien le interese accediendo a los registros de la aplicación y a las copias de seguridad. «Los mensajes quedan marcados como libres de tal forma que puedan ser sobrescritos por nuevas conversaciones o datos cuando sea necesario. Esto permite mejorar el consumo de recursos en los dispositivos y mejorar el sistema de almacenamiento», explican los autores del informe.
Para evitar este problema, como alternativa se recomienda desinstalar la aplicación e instalarla de nuevo. Aunque hay que recordar que esta solución no afecta a las copias de seguridad guardadas en el teléfono o en dispositivos externos.
Hurto de cuentas por SMS
Una persona puede acceder a una sesión de WhatsApp ajena fácilmente si su dueño ha perdido el celular o si se lo han robado. El hacker podría utilizar un teléfono propio o un emulador para iniciar un registro con el teléfono de la víctima, a donde recibirá el código de seguridad por SMS y, así, acceder y registrar toda la sesión.
«Para evitarlo, se procederá a desactivar la previsualización del remitente y contenido en la pantalla de bloqueo del terminal», recuerda.
Robo de cuentas mediante llamadas
El procedimiento es parecido al método de los SMS, sólo que en este caso se emplearía el método de verificación de sesión mediante llamada telefónica. Como solución a este escenario, habría que «recopilar los diferentes números de teléfono utilizados por la aplicación para realizar las llamadas de verificación y bloquearlos desde el terminal para no poder realizar la activación utilizando este mecanismo».
El riesgo de la información almacenada en la base de datos
Guardar la información de nuestra cuenta de la aplicación en bases de datos de forma local, ya sea el teléfono o mediante intercambio de datos personales con Facebook, suponen que «si un atacante logra hacerse con este fichero podría acceder a todas las conversaciones y datos privados del usuario».
Dependiendo de la versión de WhatsApp utilizada, «existen multitud de aplicaciones que permiten de una forma sencilla el descifrado de la información». Como solución a este trance, el CNI sugiere prestar mucha atención a » qué aplicaciones de terceros se instalan, así como el acceso físico de otra persona al termina».
A pesar de los esfuerzos por parte de ambas empresas por proteger la información de sus usuarios y de asegurar que no se comparten las fotos e información de perfil, algunos detalles como el número de teléfono, los contactos, así como la hora de última conexión los hábitos de uso de la aplicación se graban en el fichero.
La vulnerabilidad en redes WiFi públicas
Al conectarse por primera vez a una red WiFi pública, ya sea en un aeropuerto, el metro o en un parque, Whatsapp difunde información sobre los datos del usuario de la aplicación, la cual puede queda expuesta a cualquier ciberataque.